3DSupply.de: Hacker nutzten SQL-Schwachstelle aus

Hacker Am 30.12.2009 wurde zwischen 0 und 4 Uhr vom 26. Chaos Communication Congress (26C3) in Berlin das Online-Shop-System von 3DSupply angegriffen. Die Hacker konnten eine SQL-Schwachstelle ausnutzen und auf Teile der Datenbank zugreifen. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
"Vorsorglich haben die Betreiber alle Kundenprofile gelöscht" wtf??
 
@USA: Ja richtig, eine Neuanmeldung ist erforderlich!
 
@USA: Da ja angeblich nur Nutzernamen und Emailadressen ausgelesen werden konnten / wurden. Was dann das Löschen der Kundenprofile bringt sei mal dahingestellt :D
 
@s-e-b: Also als Kunde wär ich jetzt sauer... Es wurden ja keine weltbewegenden Daten ausspioniert. Das wär echt nicht nötig gewesen.
 
einige "Proof of Concept"-Attacken mögen ja lustig sein und vielleicht auch einige Administratoren mal aufrütteln.

aber eine "Proof of Concept"-Attacke die dazu führt, dass alle Kundenprofile gelöscht werden geht meiner Meinung nach definitiv zu Weit!
 
@SKIP INTRO: Haben die Hacker zu verantworten, dass die Kundenprofile von den Administratoren gelöscht wurden, wenn nur Namen und E-Mail Adressen ausgelesen wurden?
 
@USA: SQL Schwachstelle ???
Microsoft SQL Server xxx, MYSQL, Oracle, DB2, ...
 
@hamst0r: labert labert ruhig...., und genau solche wie du heulen dann rum, wenns heisst vorratsdateinspeicherung..! gut das es gelöscht wurde.. eine neuanmeldung hin oder her... ist keine grosse sache, es geht nur darum das leute vom CCC die daten eingesehen haben die sie NICHTs angehen.. und genau deshalb! auch wenn du ihnen vertraust.. nichtmal sie dürfen auf die daten einblick haben deshalb.. neuanmelden und bei der nächsten datensammel/datenklau-news nicht rumheulen....
 
Uhi wie toll, man sollte den Chaos Communication Congress mal genauer unter die Lupe nehmen, es sind ja jetzt schon über 20-30 Server die gehackt wurden. Ich glaub da sitzen ein paar Personen drin die ihre eigenen Interessen durch ihr Wissen ausnutzen. Hier kann auch jeder Milworm nutzen und ein paar Scripts und Tutors runterladen, aber nicht wundern wenn eine Anzeige kommt. Für mich hat das nichts mehr mit Proof of Concept zutun. Sinnloses Kiddiehacking nenn ich das und wer weiß was mit den gestohlenen Daten passiert.
EDIT: das elend geht weiter im wiki steht eine flirt-datings.de-Profile.csv, jeder hash ist innerhalb von sekunden gefunden. Also das würde mich als User schon ankotzen.
 
@sorduk: Also Leute die dem Chaos Computer Club angehören als Script-Kiddies abzutun, ist wirklich schon sehr extrem. Fast alle Besucher dort sind hochintelligente Menschen, die wirklich ihr Handwerk beherrschen. Ich finde es sehr nobel von diesen Personen, nur einen Proof of Concept Angriff zu starten, und nicht damit Geld zu verdienen. Falls mal wieder eine Veranstaltung dieses Vereines in Österreich stattfinden sollte, werde ich dort sicher einen Besuch abstatten.
 
@qa729: Der Knast ist voller intelligenter Menschen.
 
@Tomato_DeluXe: Stimme ich dir in Punkto Hacker nicht gerade zu... Reiser ist halt eine Ausnahme xD Aber Ausnahmen bestätigen bekanntlich die Regel xD
 
Und mit dem Shirt machen sie nun Geld. :D
 
3DSupply is eh nen Saftladen, hab denen mal per Email ne Schwachstelle gemeldet, 2 Monate später war sie immernoch offen..
 
Hier der Link zum T-Shirt:
http://www.3dsupply.de/shop/detail.php?PID=00005513

gekürzt: http://iobic.de/10825
 
@Schnuffel555: Ich finds geil xD
 
Da läuft aber noch nicht alles rund, bekomme bei fast jedem Artikel einen MySQL-Fehler :-).
 
Komisch das im 26C3 Wiki nichts dazu zu finden ist (http://bit.ly/4yb8LM). Und eine Quelle wäre dementsprechend äußerst praktisch gewesen... ich halte die Behauptung es wurde vom 26C3 aus angegriffen für äußerst fragwürdig.
 
@RobCole: ich schätze mal die artikelnummer "(Art.-Nr. 26C3)" wurde nicht zufällig so ausgewählt :o)
 
die hacken ja alles was nicht niet- und nagelfest ist :D
 
@Kloeti: So gehört sich das ja auch.
 
@Shadow27374: Warum gehört sich das? Ich brech dann mal bei dir ein, "gehört sich ja auch so".
 
@lennartb: Das gehört sich so damit böse Buben nichts anstellen können. Das ist nämlich der Unterschied zwischen Hackern und Crackern. Hacker zeigen die Lücke, erklären sie und helfen auch sie zu schließen. Der Cracker erwähnt nicht das er eine Lücke gefunden hat er nutzt sie einfach aus um sich einen Vortail zu verschaffen. Darum gehört es sich so.
 
@Shadow27374: Sehe ich genau so. In diesem Fall kann 3DSupply sogar froh sein auf diese Sicherheitslücke frühzeitig aufmerksam gemacht worden zu sein. So wurde die Lücke geschlossen, ohne diese "Proof of Concept"-Attacke
würde die Schwachstelle wohl noch bestehen. Vielleicht sollte 3DSupply dem CCC mal eine "Spende" zukommen lassen.
 
@Kloeti: Wenn sie nur mal die PSP 3000 und PSPgo hacken würden. Bislang beißen sich alle daran die Zähne aus *gg
 
hrhr *monkey island melodie pfeif*
 
@KiffW: dachte ich mir auch :D
 
Ist ja der gleiche Typ wie von der unlistigen Seite lachschon.de... http://www.lachschon.de/impressum/
 
Naja um die Seite wäre es nicht schade gewesen, für mich klingt das alles nach PR. Wenn ich mir die Preise da anschaue wird mir ganz anders, unbedruckte Fruit of the loom shirts bekomm ich für 1,50. Da werden sie bedruckt für 15-20&$8364: angeboten :(
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte